中国信通院首届3SCON软件供应链安全会议成功召开 聚焦软件供应链全链路安全

简介: 中国信通院首届3SCON软件供应链安全会议成功召开 聚焦软件供应链全链路安全

2022年6月17日,由中国信息通信研究院(以下简称“中国信通院”)主办的2022首届3SCON“软件供应链安全论坛”正式召开。会上中国信通院发布了多项重磅成果,发起成立了软件供应链安全实验室(3S-LAB),并邀请多位业内专家、企业代表围绕软件供应链安全的实践、治理趋势、技术探索等发表了主题演讲。

image.png

中国信通院云计算与大数据研究所副所长栗蔚在致辞中表示,我国软件供应链安全发展面临制度体系待完善、存量问题难解决、安全治理效能有待提升等问题。建立体系、制度流程及评价指标推进软件供应链安全工作,提升工作效能,将是日后工作的重点。中国信通院多年来在软件供应链安全领域开展相关工作取得了一系列成果,并将始终认真贯彻国家网络安全相关方针政策,牢固树立总体国家安全观。

软件供应链安全系列评估结果发布

为了推进标准落地并规范行业发展,中国信通院积极开展软件供应链安全领域的相关评估工作,并在会上发布了2022年最新评估结果:

image.png

可信安全最新评估结果发布

具体评估结果如下

首批通过软件供应链安全管理能力评估(3SM)的企业:

  • 平安银行股份有限公司
  • 中国移动通信集团浙江有限公司

通过可信研发运营安全能力成熟度评估(TSM)的企业:

  • 用友网络科技股份有限公司

通过研发运营安全工具(SAST)评估的企业:

  • 腾讯云计算(北京)有限责任公司

中国信通院“2022安全守卫者计划—软件供应链安全专题”优秀案例发布

为进一步促进软件供应链产业创新发展,提升企业软件供应链安全治理水平,中国信通院启动了“2022安全守卫者计划--软件供应链安全专题”优秀案例征集评选活动,评选出了一批技术成熟、方案完善、具备广泛应用性的优秀案例。

image.png

2022安全守卫者计划——安全运营专题优秀案例评选结果

软件供应链安全实验室(3S-LAB)正式成立

软件供应链安全实验室(3S-Lab)由中国信通院发起建立,旨在联合政、产、学、研、用多方力量,整合优质资源,研究关键技术,完善标准体系,开展测试与评估,搭建合作桥梁,推动软件供应链安全产业健康有序发展。本次论坛上,软件供应链安全实验室(3S-LAB)正式宣布成立并对实验室首批成员单位代表进行了授牌。

image.png

软件供应链安全实验室(3S-LAB)首批成员单位

《软件物料清单(SBOM)安全应用白皮书》发布

为让国内企业迅速了解软件物料清单(SBOM)技术,推动建立SBOM体系,建信金科与中国信通院联合编撰了国内首本《软件物料清单(SBOM)安全应用白皮书》,并在论坛上由建信金科基础技术中心总裁李晓敦和中国信通院云大所所长何宝宏联合发布。

《软件物料清单(SBOM)安全应用白皮书》发布


image.png

image.png

随后,建信金科基础技术中心信息安全专家王晖对于白皮书内容进行深入解读,她指出,白皮书梳理了软件物料清单(SBOM)的国际进展和相关标准,并对SBOM的发展趋势进行了展望。同时,通过软件物料清单(SBOM)在建信金科DevOps、安全运营平台上的应用实践,为行业提供可落地的参考。

image.png

《软件物料清单(SBOM)安全应用白皮书》解读

软件供应链安全洞察

中国信通院云大所开源和软件安全部副主任(主持工作)郭雪以“软件供应链全景观察”为题发表了演讲,她表示,软件供应链安全面临五大挑战,已成为全球安全共识,中国信通院持续开展标准体系建设和评估,保障软件供应链全链路安全。未来中国信通院将继续推进软件供应链安全技术、框架等相关研究,完善软件供应链安全标准体系和系列评估。同时加强生态建设,进一步推动供应链上下游企业完善自身安全管理体系,建立软件供应链安全可信生态。

image.png

软件供应链安全洞察解读

与会嘉宾围绕“软件供应链安全”发表精彩演讲

中国信通院云大所开源和软件安全部工程师李晓明在论坛上以《软件供应链安全管理能力成熟度模型》为题,从软件供应链管理机制、供应链上游、生产链和供应链下游四大维度对软件供应链安全指标进行了解读,以提高软件供应链需方软件供应链安全管理能力,规范软件供应链需方软件供应链管理流程,并为第三方测评提供新思路。

结合软件供应链引入实践,平安银行资深安全专家陈迎宾发表了题为“平安银行软件供应链安全实践”的演讲,他指出,为了加强软件供应链安全管理,从2018年开始平安银行通过对第三方采购应用服务,开源组件等进行重点安全治理。通过制定流程规范,建立流程管控平台,对供应链产品在引入安全评估,版本管控,线上持续运营,持续自动化扫描,人工定期安全检视,下线监控等方面进行全流程安全管理,软件供应链安全质量得到明显提高。

image.png

中国信通院云大所开源和软件安全部工程师俊哲对于《软件物料清单建设总体框架》进行深入解读。他指出,《软件物料清单建设总体框架》标准的制定,将有助于指导厂商更好的将软件物料清单引入软件供应链安全建设,从而为针对供应链的攻击的快速定位和响应提供解决方向,降低造成重大网络安全事件的风险,同时也将减少用户的采购和使用成本。

围绕制品检测在供应链安全DevSecOps落地应用中的重要性及相关分析技术的挑战、落地方法,腾讯安全高级安全研究员张文凯详细分析了“供应链安全下制品扫描的技术实践”,他从供应链安全着手,论述了制品扫描对于供应链安全的必要性、制品扫描在研发流程中的重要地位及相关使用场景引发的技术需求、二进制软件成分分析在制品扫描中的重要意义及相关技术细节实现、开源组件知识库构建的挑战与意义。

从软件供应链安全研究成果的角度出发,悬镜安全高级解决方案架构师凌云带来“浅谈软件供应链安全治理趋势与最佳实践”主题分享,他表示,悬镜安全结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系,帮助企业构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。

image.png

通过发布多项软件供应链安全成果,进行深具实践价值的精彩分享,本次论坛圆满结束。未来,中国信通院将继续与产业各方展开更加紧密的合作,通过制定相关标准、举办活动论坛等,推动软件供应链安全、有序、健康发展,推进千行百业数字化转型,助力数字中国建设。

image.png


相关文章
|
4月前
|
人工智能 运维 专有云
阿里云通过信通院多项评估,获评央国企上云服务商“全量领导者”
阿里云飞天企业版凭借“一云多算”能力拿下“可信云技术最佳实践”奖,并通过《面向一云多芯专有云技术能力要求》、《“云+应用”一体化运维能力要求》等多项评估。
109 2
|
6月前
|
新能源 大数据 调度
阿里云IDC“数据中心低碳用能与任务调度“创新成果荣获“年度低碳解决方案”荣誉
阿里云IDC“数据中心低碳用能与任务调度“创新成果荣获“年度低碳解决方案”荣誉
|
供应链 安全 NoSQL
助力软件供应链安全 蚂蚁集团多项产品入选信通院优秀案例
近日,由中国信息通信研究院(以下简称“中国信通院”)主办,中国通信标准化协会云计算标准和开源推进委员会承办的3SCON软件供应链安全会议以线上直播形式召开。会上主办方发布了首期《软件供应链厂商和产品名录》,蚂蚁集团多项技术产品入选优秀实践案例。
244 0
助力软件供应链安全 蚂蚁集团多项产品入选信通院优秀案例
|
存储 开发框架 供应链
科技云报道:软件供应链安全治理需打好“团体赛”
软件供应链攻击已成为突破业务防线的新路径之一
139 0
科技云报道:软件供应链安全治理需打好“团体赛”
|
云安全 安全 物联网
2022中国信通院首届业务与应用安全发展论坛成功召开-2!
2022中国信通院首届业务与应用安全发展论坛成功召开!
208 0
2022中国信通院首届业务与应用安全发展论坛成功召开-2!
|
安全 大数据 视频直播
2022中国信通院首届业务与应用安全发展论坛成功召开-1!
2022中国信通院首届业务与应用安全发展论坛成功召开!
232 0
2022中国信通院首届业务与应用安全发展论坛成功召开-1!
|
运维 安全 测试技术
数字化首个安全生产标准 阿里云联合信通院发布《基于云计算的数字化业务安全工程要求》
7月28日,国内首部专注于数字化业务安全生产的《基于云计算的数字化业务安全工程要求》标准在2021可信云大会上发布。该标准由阿里云混合云和中国信通院联合牵头,多家国内知名企业参与制定,填补了数字化业务安全生产标准的空白,标志着该领域进入到了有标可依的新阶段。
502 0
数字化首个安全生产标准 阿里云联合信通院发布《基于云计算的数字化业务安全工程要求》
|
传感器 人工智能 城市大脑
构建创新型基层治理体系,阿里云AIoT科技执法落地佛山
作为广东省数字政府城乡融合发展示范区,南海区正以“时不我待”的紧迫感加快推进“数字政府”建设。自今年年初启动城市大脑二期以来,南海区进一步彰显“改革闯将”的本色,以AI赋能城市治理,创新工作方式,打造AI科技执法的创新型基层治理体系。
317 0
构建创新型基层治理体系,阿里云AIoT科技执法落地佛山
|
运维 安全 Devops
数字化首个安全生产标准,阿里云联合信通院发布《基于云计算的数字化业务安全工程要求》
阿里云联合信通院发布《基于云计算的数字化业务安全工程要求》。
543 0
数字化首个安全生产标准,阿里云联合信通院发布《基于云计算的数字化业务安全工程要求》
|
运维 Cloud Native 容灾
Forrester咨询:中国人保健康联合蚂蚁SOFAStack,新一代业务系统达行业顶尖水平
6月9日,蚂蚁联合全球知名市场调研机构Forrester咨询在2020阿里云线上峰会发布《蚂蚁SOFAStack总体经济影响报告——金融级云原生市场趋势以及云原生平台带来的成本节省和业务优势》(以下简称《白皮书》)。《白皮书》指出,随着云计算在各行各业的落地不断深化,云原生技术在应用基础设施、应用软件架构、开发模式与部署架构四个层面协同进化并趋向成熟,为包括金融行业在内的各行各业带来了全新的业务价值与技术优势。
533 0
Forrester咨询:中国人保健康联合蚂蚁SOFAStack,新一代业务系统达行业顶尖水平